Informationen für Inbetriebnahme nötig

foer · 16. Juli 2019 um 14:51

Hallo das ist eine Bitte an alle Experten um Erhellung,

ich bin jetzt schon sehr weit mit der Umstellung von lmn6 auf lmn7. Server läuft stabil, Subnetze sind angelegt, Netzwerk funktioniert, Opnsense ist mit 4 Netzen (grün, rot, wlan, dmz) und den alten Regeln eingerichtet, Devices importiert, User sind angelegt, Linbo läuft, der Linuxclient ist mal grundsätzlich eingerichtet,…

Allerdings ist der endgültige Umstieg auf die lmn7 ist im Moment v.a. wegen noch nicht dokumentierter/implementierter “Kleinigkeiten” recht schwierig.

Zwei wesentliche Funktionalitäten sollten dringend zeitnah implementiert, bzw. erklärt werden, damit wir Testwilligen unsere Schulen in den Sommerferien umstellen können:

Wir brauchen dringend einen Radius, da bei vielen die Wlangeschichten (WPA2-Enterprise) darüber abgewickelt werden. Am besten aufgehoben wäre dieser auf der Opnsense, denn die bringt einen Radius als Erweiterung mit und wir müssten nicht extra eine VM dafür aufmachen. Ich war zu blöd das letztlich zum Laufen zu bekommen. Des weiteren müsste noch dringend irgendwo dokumentiert werden, wie das mit der Wlansteuerung läuft…bisher gab es ja die Gruppe p_wifi und Schalter in der Schulkonsole. Ich nehme mal an, es gibt dafür ein Feld in der AD aber wie funktioniert das mit SELMA und wie mache ich die Beschränkungen im Radius? Und wie konfiguriere ich das Serverseitig? In der lmn6 gab es dazu eine Konfigurationsdatei wlan_defaults. Ich habe einige Templates auf git gefunden, kann aber nicht erkennen, wie das läuft.
Hängt mit 1. teilweise zusammen: wir möchten bestimmt alle, dass sich unsere User wie bisher bei Webuntis, bei der Nextcloud, usw. mit ihren schoolcredentials anmelden können…dabei bin ich über einige Probleme gestolpert:

a. Die Prinzipielle Syntax, wie man die AD fragt habe ich mir aus /etc/linuxmuster/webui/config.yml abgeschaut. Allerdings fehlt ganz dringend eine Grunddokumentation, wie das mit den weiteren Filtern (Gruppen, User, etc.), bzw. allgemein der Syntax funktioniert…am besten wären Beispielkonfigurationen?

b. Speziell Webuntis erlaubt die Authentifizierung nur gegen einen von einer CA (z.B. letsencrypt) signierten ladp/AD. Wir nutzen ja auf dem lmn7-server ein selbstsigniertes Zertifikat…
Bei der lmn6 habe ich das in der slapd.conf konfigurieren können. Wie funktioniert das ganze bei der lmn7?

Wie läuft das mit dem Proxy bei Wlan…ich habe nirgendwo einen Schalter gefunden, dass der Proxy beim “blauen” Netz transparent ist…oder funktioniert das über SSO?

Vielen Dank schon mal für hoffentlich viele Infos.

Gruß

Dominik

jeffbeck · 16. Juli 2019 um 15:52

Für AD abfragen gibt es

sophomorix-query

Das liefert ein JSON Objekt zurück auf stderr mit den angeforderten Daten.

Falls sich am AD etwas ändern sollte (Umorganisation, neues Attribut, neue Samba Version, …), wird sophomorix-query entsprechend aktualisiert.
Sodass deine Abfragen dann noch tun. Und deine selbstge(s)trickten Scripte nicht kaputt gehen.

Falls du etwas nicht abfragen kannst, was du brauchst, baue ich es zeitnah ein.

LG, Rüdiger

foer · 16. Juli 2019 um 17:10

Hallo Rüdiger,

danke für deine Antwort!

Das hilft mir nur überhaupt nicht weiter, wenn ich z.B. von einer Nextcloud aus per ldap die AD fragen will…oder verstehe ich da was nicht?

Michael · 16. Juli 2019 um 17:16

Hallo Dominik. Da bist du ja einen großen Schritt weiter als ich

Was meinst du damit?
Und: Hast du alle OPNSense Regeln manuell neu angelegt? Das dauert 'ne Weile, oder??
Schönen Gruß,
Michael

foer · 16. Juli 2019 um 17:23

Hallo Michael,

…ich habe im Moment das Gefühl, dass ich bei jedem Schritt vorwärts wieder zwei zurück rutsche…es steckt echt der Teufel im Detail…

Mit Devices meine ich, dass ich die alte workstations Datei in die neue devices.csv überführt habe…es gibt da ja einige neue Rollen für Geräte…

Ja die OPNSense Regeln habe ich per Hand übertragen…das geht schnell, wenn man neben dran einfach das ipfire-Fenster offen hat…

Gruß
Dominik

jeffbeck · 17. Juli 2019 um 07:05

Nein, du verstehst richtig:

Bei Abfragen übers Netz geht das nur über das ldap Protokoll.

Da must du wissen wie das AD aussieht, und welche lmn7 spezifischen Attribute es gibt.

Das ist im sophomorix wiki zum teil dokumentiert:

Für die Abfrage des AD musst du dich mit den ldap Filtern befassen.

Um z.B. alle sophomorix-Gruppen in nextcloud zu haben (und nicht die samba4 eigenen) wählst du folgenden Filter:

(& (objectClass=group) (|
(sophomorixType=adminclass)
(sophomorixType=extraclass)
(sophomorixType=teacherclass)
(sophomorixType=project)
(sophomorixType=sophomorix-group) )
)

Infos zur filtersytax z.B. hier:

http://www.ldapexplorer.com/en/manual/109010000-ldap-filter-syntax.htm

Hoffe das hilft, ansonsten konret fragen was du aus dem AD abfragen möchtest.

LG Rüdiger

foer · 17. Juli 2019 um 16:20

Hallo Rüdiger,

danke das hilft schon Mal viel beim allgemeinen Verständnis weiter. Mein Problem ist aber eine Ebene darüber. Ich bekomme die Nextcloud einfach nicht dazu sich mit dem Ladp überhaupt zu verbinden.

Der Port 636 ist offen und erreichbar von der Nextcloud…das ist bisher das einzige was tut. Folgende Felder sollen ausgefüllt werden:

Eingetragen habe ich:

Host: ldaps://meine-ip-adresse Port: 636
Benutzerdn: Versucht habe ich: global-binduser; CN=global-binduser
Passwort: das Passwort aus /etc/linuxmuster/.secret/global-binduser
*Base-DN: Versucht habe ich alle möglichen Kombinationen; als Vorlage habe ich die /etc/linuxmuster/webui/config.yml genommen.

…ich bekomme aber keine Verbindung zur AD.

Kannst du mir einen Tipp geben oder einen Schubs, wie man das mal systematisch testet?

Viele Grüße

Dominik

Bei Host habe ich den lmn7 eingetragen: ldaps://meine-ip-adresse; bei Port 636

baumhof · 17. Juli 2019 um 16:34

Hallo Dominik,

wahrscheinlich muss man dem AD noch sagen, dass er Anfragen von der IP
auch annimmt…
Beim LDAP war das so.

LG

Holger

scheuvens · 17. Juli 2019 um 19:11

Hallo Dominik,

wir beschäftigen uns gerade mit dem FreeRadius AddOn auf der OpenSense und haben für die LDAP Anbindung folgende Eintragungen verwendet:
Bindbenutzer: CN=global-binduser, OU=Management, OU=GLOBAL, DC=linuxmuster, DC=lan
BindKennwort: <wie in der Datei /etc/linuxmuster/.secret/global-binduser angegeben >
Attribute für die Benutzernamen haben wir einfach mal so gelassen wie es das AddOn vorgegeben hatte…

Das hat schon mal in der Protokolldatei das FreeRadius ein funktionierendes “Binding” gebracht.
Noch schöner:
Ein “radtest” auf der Konsole von openSense mit einem existierenden Benutzer war erfolgreich
Mehr haben wir noch nicht … Aber wir bleiben dran …

Viel Erfolg !

Gruss
Boris

jeffbeck · 20. Juli 2019 um 12:32

Hallo Dominik,

Benutzer DN ist der komplette AD Pfad zum benutzen user, also z.B. für einen global admin:

CN=,OU=Management,OU=GLOBAL,DC=linuxmuster,DC=local

die Zugangsdaten (DN, Passwort, etc…) können angezeigt werden mit:

sophomorix-admin -a -i

oder so ähnlich. Evtl. die Hilfe befragen, evtl. -ivv nutzen

BaseDN ist die DN unterhalb der nach Usern und Gruppen gesucht wird. Beim automatischen ermitteln wird der Server nach seine RootDSE befragt, die er verwaltet. (Üblicherweise DC=linuxmuster,DC=local). Dies sucht ÜBERALL im LDAP-Baum nach usern. Deshalb sollte die BaseDN eingeschränkt werden:
• OU=SCHOOLS,DC=linuxmuster,DC=local (auf alle Schulen)
• OU=bsz,OU=SCHOOLS,DC=linuxmuster,DC=local (auf die Schule bsz)